Standardkonnektivität für Zweigstellen überprüfen
Zuerst überprüfen wir die Standard-WAN- und LAN-Konnektivität auf der SRX.
WAN-Konnektivität überprüfen
Bestätigen Sie den DHCP-Client auf der WAN-Schnittstelle
Stellen Sie sicher, dass die WAN-Schnittstelle eine IP-Adresse vom DHCP-Dienst empfangen hat, der vom ISP bereitgestellt wird. In der Standardkonfiguration ist die ge-0/0/0-Schnittstelle Teil der untrust Zone und als DHCP-Client festgelegt.
root@branch_SRX> show dhcp client binding IP address Hardware address Expires State Interface 172.16.1.10 78:4f:9b:26:21:f5 77215 BOUND ge-0/0/0.0
Internetkonnektivität bestätigen
Bestätigen Sie den Internetzugang mit einem erfolgreichen Ping an www.juniper.net.
root@branch_SRX> ping www.juniper.net inet count 2 PING e1824.dscb.akamaiedge.net (104.100.54.237): 56 data bytes 64 bytes from 104.100.54.237: icmp_seq=0 ttl=47 time=7.268 ms 64 bytes from 104.100.54.237: icmp_seq=1 ttl=47 time=9.803 ms --- e1824.dscb.akamaiedge.net ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 7.268/8.536/9.803/1.267 ms
LAN-Konnektivität überprüfen
- LAN-DHCP-Server bestätigen
- VLANs anzeigen
- Mac Address Learning überprüfen
- LAN-Konnektivität in der Trust Zone bestätigen
Lan-Konnektivität überprüfen. Die Standardsicherheitsrichtlinien der SRX300-Reihe fassen die werkseitigen Standardsicherheitszonen und deren Verhalten zusammen. Unter Standardkonnektivität der SRX300-Serie finden Sie Details zu den physischen Konnektivitäts- und MAC-Adressen, die von den verschiedenen LAN-Geräten verwendet werden.
SRX300-Reihe
Während Der Porttyp und die Anzahl der SRX-Modelle in Zweigstellen (SRX300-Serie) variieren, ergibt sich bei der werksseitigen Standardkonfiguration die gleiche Art von Konnektivität:
- Alle LAN-Ports verfügen innerhalb der trust Zone über vollständige Layer-2-Konnektivität
- Datenverkehr, der von jedem LAN-Port gesendet wird, ist in der untrust Zone erlaubt.
- Die Rückkehr des Datenverkehrs aus der untrust Zone in die trust Zone ist erlaubt.
- Datenverkehr, der aus der untrust Zone stammt, wird von der trust Zone blockiert
Beachten Sie diese Standardeinstellungen, während Sie die Standardkonnektivität weiterhin überprüfen.
LAN-DHCP-Server bestätigen
Stellen Sie sicher, dass die SRX den LAN-Clients IP-Adressen zuweist. Erinnern Sie sich daran, dass in der werkseitigen Standardkonfiguration eine Layer-3-fähige integrierte Routing- und Bridging-Schnittstelle (IRB) als DCHP-Server für alle LAN-Ports fungiert. Siehe Abbildung 1 , um die in der Ausgabe angezeigten MAC-Adressen den in unserer Zweigstelle verwendeten Geräten und SRX-Ports zuzuordnen.
root@branch_SRX> show dhcp server binding IP address Session Id Hardware address Expires State Interface 192.168.2.5 3530 08:81:f4:82:a4:5c 70025 BOUND irb.0 192.168.2.8 3529 08:81:f4:8a:eb:51 68662 BOUND irb.0 192.168.2.13 3534 20:4e:71:a6:a7:01 86366 BOUND irb.0 192.168.2.7 3535 d4:20:b0:00:c3:37 86126 BOUND irb.0
Die Ausgabe bestätigt, dass das SRX-Gerät den LAN-Clients korrekt IP-Adressen aus dem Standard-Adressenpool 192.168.2.0/24 zuweist.
VLANs anzeigen
In der werksseitigen Konfiguration befinden sich alle LAN-Ports im selben VLAN (vlan-trust) mit vollständiger (ungefilterter) Layer 2-Konnektivität für das gemeinsam genutzte IP-Subnetz 192.168.2.0/24. Verwenden Sie den show vlans Befehl, um alle VLANs auf dem Gerät anzuzeigen.
root@branch_SRX> show vlans
Routing instance VLAN name Tag Interfaces
default-switch default 1
default-switch vlan-trust 3
ge-0/0/1.0*
ge-0/0/10.0
ge-0/0/11.0
ge-0/0/12.0
ge-0/0/13.0
ge-0/0/14.0
ge-0/0/15.0
ge-0/0/2.0*
ge-0/0/3.0*
ge-0/0/4.0
ge-0/0/5.0
ge-0/0/6.0
ge-0/0/7.0
ge-0/0/8.0
ge-0/0/9.0
xe-0/0/16.0
xe-0/0/17.0
xe-0/0/18.0
Die Ausgabe zeigt, dass es zwei VLANs gibt: das VLAN, die default zugewiesene VLAN-ID 1 und das VLAN, die vlan-trust VLAN-ID 3 zugewiesen. In der werkseitigen Konfiguration sind keine Schnittstellen dem Standard-VLAN zugeordnet. Alle LAN-Ports sind mit dem vlan-trust VLAN verknüpft. Auch hier verfügen alle Schnittstellen, die demselben VLAN zugewiesen sind, über vollständige Konnektivität auf Layer 2.
Mac Address Learning überprüfen
Erteilen Sie den show ethernet-switching table Befehl zur Überprüfung des MAC-Lernens im vlan-trust VLAN.
root@branch_SRX> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 6 entries, 6 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
vlan-trust 08:81:f4:82:a4:5c D - ge-0/0/3.0 0 0
vlan-trust 08:81:f4:8a:eb:51 D - ge-0/0/2.0 0 0
vlan-trust 20:4e:71:a6:a7:01 D - ge-0/0/1.0 0 0
Die Ausgabe bestätigt das erwartete Lernen von MAC-Adressen für unsere LAN-Clients im vlan-trust VLAN.
In einem VLAN erfolgt die Erkennung von MAC-Adressen immer dann, wenn ein Gerät eine beliebige Art von Datenverkehr sendet. Die SRX lernt basierend auf der Quell-MAC-Adresse. Aus diesen Erkenntnissen wird die Ethernet-Switching-Tabelle erstellt, die für die Weiterleitung des Datenverkehrs verwendet wird, basierend auf der MAC-Adresse des Ziels. Broadcast-, unbekannter Unicast- und Multicast -Datenverkehr (BUM) wird an alle Ports im VLAN geflutet. In unserem Fall reicht die Verwendung von DHCP zum Abrufen einer IP-Adresse aus, um das angezeigte Lernen der MAC-Adresse auszulösen.
LAN-Konnektivität in der Trust Zone bestätigen
Um die LAN-Konnektivität in der trust Zone zu bestätigen, senden Sie einfach einen Ping zwischen LAN-Clients. Alternativ können Sie Pings von der SRX an jeden LAN-Client senden. Melden Sie sich zur Überprüfung bei einem Mitarbeitergerät an, das an die SRX-ge-0/0/2-Schnittstelle angeschlossen ist, und testen Sie die Konnektivität sowohl mit der IRB-Schnittstelle in der SRX-Schnittstelle als auch mit dem LAN-Gerät, das an die Ge-0/0/1-Schnittstelle der SRX angeschlossen ist. Verwenden Sie die MAC- und IP-Adressen, die in der vorhergehenden Befehlsausgabe angezeigt werden.
Bestätigen Sie zunächst die Geräteschnittstellenparameter der Mitarbeiter. Insbesondere die MAC- und IP-Adressen:
root@employee> show interfaces ge-1/0/1
Physical interface: ge-1/0/1, Enabled, Physical link is Up
Interface index: 153, SNMP ifIndex: 522
Link-level type: Ethernet, MTU: 1514, MRU: 1522, LAN-PHY mode, Speed: 1000mbps, BPDU Error: None, Loop Detect PDU Error: None,
. . .
Current address: 08:81:f4:8a:eb:51, Hardware address: 08:81:f4:8a:eb:51
. . .
Logical interface ge-1/0/1.0 (Index 338) (SNMP ifIndex 598)
Flags: Up SNMP-Traps 0x0 Encapsulation: ENET2
Input packets : 1338313
Output packets: 40277
Protocol inet, MTU: 1500
Max nh cache: 75000, New hold nh limit: 75000, Curr nh cnt: 1, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary
Destination: 192.168.2/24, Local: 192.168.2.8, Broadcast: 192.168.2.255
Protocol multiservice, MTU: Unlimited
Flags: Is-Primary
Testen Sie als Nächstes die erwartete LAN-Konnektivität mit einem Ping zur IRB-Schnittstelle der SRX und zum LAN-Gerät, das an die Ge-0/0/1-Schnittstelle angeschlossen ist. Wie oben dargestellt, wird dem LAN-Gerät auf ge-0/0/1 die IP-Adresse 192.168.2.13 zugewiesen:
root@employee> ping 192.168.2.1 count 2 PING 192.168.2.1 (192.168.2.1): 56 data bytes 64 bytes from 192.168.2.1: icmp_seq=0 ttl=64 time=0.938 ms 64 bytes from 192.168.2.1: icmp_seq=1 ttl=64 time=0.893 ms --- 192.168.2.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.893/0.915/0.938/0.023 ms root@employee> ping 192.168.2.13 count 2 PING 192.168.2.13 (192.168.2.13): 56 data bytes 64 bytes from 192.168.2.13: icmp_seq=0 ttl=64 time=2.798 ms 64 bytes from 192.168.2.13: icmp_seq=1 ttl=64 time=1.818 ms --- 192.168.2.13 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.818/2.308/2.798/0.490 ms root@employee> traceroute 192.168.2.13 traceroute to 192.168.2.13 (192.168.2.13), 30 hops max, 40 byte packets 1 192.168.2.13 (192.168.2.13) 1.759 ms 1.991 ms 1.786 ms
Die Pings sind erfolgreich, wodurch die erwartete Konnektivität für die vertrauenswürdigen VLAN-Ports überprüft wird. Die hinzugefügte Traceroute-Ausgabe bestätigt das gemeinsam genutzte IP-Subnetz und die daraus resultierende direkte Konnektivität für die LAN-Stationen. Diese Konnektivität ändert sich, wenn Sie später mehrere VLANs und IP-Subnetze bereitstellen, um die Konnektivität lokaler Zweigstellen zu sichern.
Lan-zu-WAN-Konnektivität mit Quell-NAT überprüfen
Senden Sie einen Ping an ein Internetziel von einem LAN-Client. Falls gewünscht, können Sie einen Ping über die IRB-Schnittstelle der SRX beziehen, um den gleichen Paketfluss auszuüben. Das Ziel ist es, mit Quell-NAT zu überprüfen, ob der Datenverkehr, der aus der trust Zone stammt, in die untrust Zone fließt. Dadurch verfügt die LAN-Station über eine Internetverbindung.
Testen wir die Internetkonnektivität des LAN-Clients, der an die SRX ge-0/0/2-Schnittstelle angeschlossen ist, indem wir einen Ping an die juniper.net Website senden.
root@employee> ping www.juniper.net count 2 inet
PING e1824.dscb.akamaiedge.net (104.100.54.237): 56 data bytes
64 bytes from 104.100.54.237: icmp_seq=0 ttl=44 time=4.264 ms
64 bytes from 104.100.54.237: icmp_seq=1 ttl=44 time=4.693 ms
--- e1824.dscb.akamaiedge.net ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 4.264/4.479/4.693/0.214 ms
root@employee> show route 104.100.54.237
inet.0: 23 destinations, 23 routes (22 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Access-internal/12] 3w6d 01:45:40, metric 0
> to 192.168.2.1 via ge-1/0/1.0
Der Ping ist erfolgreich und bestätigt die LAN-zu-WAN-Konnektivität. Die Ausgabe des show route Befehls bestätigt, dass die LAN-Station den Testverkehr an die SRX als Standard-Gateway sendet.
Es ist wichtig zu beachten, dass das Senden eines Ping von einer LAN-Station an ein Internetziel den Paketfluss von der trust Zone zur untrust Zone beinhaltet. Die SRX ist ein datenstrombasiertes Gerät. Es ist eine Sicherheitsrichtlinie erforderlich, um Datenströme zwischen Zonen zu erlauben. Wie in Abbildung 1 erwähnt, ermöglichen trust untrust die werksseitigen Richtlinien paketbasierte Datenströme.
Zeigen Sie die Datenstromsitzungstabelle an, um zu bestätigen, dass es aktive Sitzungen zwischen den LAN-Clients und dem WAN gibt.
root@branch_SRX> show security flow session Session ID: 8590056439, Policy name: trust-to-untrust/5, State: Stand-alone, Timeout: 2, Valid In: 192.168.2.8/28282 --> 104.100.54.237/56711;icmp, Conn Tag: 0x0, If: irb.0, Pkts: 1, Bytes: 84, Out: 104.100.54.237/56711 --> 172.16.1.10/7273;icmp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 84, . . .
Die Ausgabe zeigt, dass Ihr Testdatenverkehr erfolgreich einen Datenstromtabelleneintrag erstellt hat. Ein zweiter Eintrag für denselben Datenstrom bestätigt, dass die SRX-Quell-NAT für den Datenverkehr durchgeführt hat (unter Verwendung von 172.16.1.10 von seiner WAN-Schnittstelle), bevor er den Ping an das Ziel unter 104.100.54.237 (www.juniper.net) sendet. Damit wird bestätigt, dass der Datenverkehr von der trust Zone zur untrust Zone mit Quell-NAT fließen darf. Ihr erfolgreicher Ping von einer LAN-Station bestätigt www.juniper.net die erwartete werkseitige LAN-WAN-Konnektivität.
Als Nächstes zeigen wir Ihnen, wie Sie die Standard-LAN-Konnektivität ändern können, um die lokale Zweigstelle entsprechend Ihren Anforderungen zu schützen.